自從十二屆全國人大常委會(huì )把制定網(wǎng)絡(luò )安全方面的立法列入立法工作計劃以來(lái)��,社會(huì )各界對《中華人民共和國網(wǎng)絡(luò )安全法》的制定高度關(guān)注�����。大家清楚地看到�,網(wǎng)絡(luò )安全問(wèn)題引起社會(huì )公共利益和經(jīng)濟受損���,公民�����、法人和其他組織的合法權益遭受侵害的事件屢見(jiàn)不鮮�����,通過(guò)立法手段來(lái)進(jìn)一步加強網(wǎng)絡(luò )安全管理已成眾望所歸���。11月7日���,全國人大常委會(huì )表決通過(guò)《中華人民共和國網(wǎng)絡(luò )安全法》(以下簡(jiǎn)稱(chēng)《網(wǎng)絡(luò )安全法》)��,網(wǎng)絡(luò )安全領(lǐng)域第一部基礎性����、框架性法律正式出臺���。
“沒(méi)有絕對的安全”是網(wǎng)絡(luò )安全從業(yè)人員的共識���,實(shí)施網(wǎng)絡(luò )安全風(fēng)險管理�����,將安全風(fēng)險控制在可接受的水平是網(wǎng)絡(luò )安全工作的基本方法論���,縱觀(guān)《網(wǎng)絡(luò )安全法》����,其中就包含安全標準�����、安全檢測和認證�、安全風(fēng)險評估���、安全審查為代表的網(wǎng)絡(luò )安全風(fēng)險管理措施的條款多達十五條�����!毒W(wǎng)絡(luò )安全法》具體闡述了網(wǎng)絡(luò )安全風(fēng)險管理的哪些理念�?會(huì )對今后的網(wǎng)絡(luò )安全風(fēng)險管理工作帶來(lái)什么變化����?本文從以下三方面予以論述����。
一����、網(wǎng)絡(luò )安全風(fēng)險管理的地位得以全面提升
僅從方法論來(lái)看網(wǎng)絡(luò )安全風(fēng)險管理��,其過(guò)程涉及信息系統的全生命周期����,包括規劃�、建設��、運行�����、廢棄等階段的風(fēng)險管理���。然而��,從實(shí)施角度來(lái)看�,首先����,網(wǎng)絡(luò )安全風(fēng)險管理需具備合法和正當的目的�����!毒W(wǎng)絡(luò )安全法》第二十六條明確規定�,“開(kāi)展網(wǎng)絡(luò )安全認證�、檢測�����、風(fēng)險評估等活動(dòng)��,向社會(huì )發(fā)布系統漏洞��、計算機病毒�����、網(wǎng)絡(luò )攻擊���、網(wǎng)絡(luò )侵入等網(wǎng)絡(luò )安全信息�,應當遵守國家有關(guān)規定��。”目前����,我國尚存在不少機構和個(gè)人未得到正式授權進(jìn)行安全檢測����、漏洞挖掘和披露的行為���,其中不乏因操作不當或對后果估計不足對被檢測方造成危害的案例�,其所謂的“安全風(fēng)險評估”反而成為真正的風(fēng)險點(diǎn)��。其次�,安全檢測��、認證和風(fēng)險評估作為加強網(wǎng)絡(luò )安全管理的手段���,也在《網(wǎng)絡(luò )安全法》中有多處提及��,為網(wǎng)絡(luò )安全風(fēng)險管理相關(guān)工作提供了充分的法律依據���。
此外�,實(shí)施網(wǎng)絡(luò )安全風(fēng)險管理��,在法律的基礎上�����,還必須依賴(lài)科學(xué)先進(jìn)的網(wǎng)絡(luò )安全標準�。今年8月�����,中央網(wǎng)信辦����、國家質(zhì)檢總局��、國家標準委聯(lián)合印發(fā)《關(guān)于加強國家網(wǎng)絡(luò )安全標準化工作的若干意見(jiàn)》�����,意見(jiàn)明確要求����,推動(dòng)網(wǎng)絡(luò )安全標準與國家相關(guān)法律法規的配套銜接������!毒W(wǎng)絡(luò )安全法》即是該思想的充分體現����,提及安全標準和規范的條款達七條之多��,其中多處提到“國家標準的強制性要求”��,安全標準的地位得到顯著(zhù)加強�。由上述可見(jiàn)�,《網(wǎng)絡(luò )安全法》所闡述的網(wǎng)絡(luò )安全風(fēng)險管理理念�����,是以法律法規為基����,以安全標準為綱���,只有“立得穩�����,行得正”的網(wǎng)絡(luò )安全風(fēng)險管理措施才能真正發(fā)揮其效用���。
二�����、網(wǎng)絡(luò )安全風(fēng)險管理的范圍得到全面擴展
實(shí)施網(wǎng)絡(luò )安全風(fēng)險管理����,原本是從保護組織資產(chǎn)和業(yè)務(wù)的角度出發(fā)���,使其免于遭受損失���。然而����,《網(wǎng)絡(luò )安全法》是從總體國家安全觀(guān)出發(fā)�����,將網(wǎng)絡(luò )空間主權和國家安全�����、社會(huì )公共利益����,公民�、法人和其他組織的合法權益均納入保護對象��,大大擴展了網(wǎng)絡(luò )安全風(fēng)險管理的適用范圍�����。首先���,《網(wǎng)絡(luò )安全法》進(jìn)一步強化了關(guān)鍵信息基礎設施保護的內容�����,在第三十一條中明確列出關(guān)鍵信息基礎設施的范圍�����。關(guān)鍵信息基礎設施保護�,因其影響重大���,是在網(wǎng)絡(luò )安全等級保護基礎上的進(jìn)一步重點(diǎn)保護�,充分體現了安全風(fēng)險管理的思想���。其次���,第三十五條提出���,關(guān)鍵信息基礎設施運營(yíng)者采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)��,可能影響國家安全的�,應通過(guò)安全審查��,該措施即是針對國家安全層面實(shí)施安全風(fēng)險管理的有效舉措���。
此外����,《網(wǎng)絡(luò )安全法》針對公民個(gè)人信息保護�,提出了大量具體要求�����,一方面彌補了國內在此方面立法的不足��,另一方面將個(gè)人信息保護納入到網(wǎng)絡(luò )產(chǎn)品提供者和服務(wù)運營(yíng)者實(shí)施網(wǎng)絡(luò )安全風(fēng)險管理的必要內容�。由上述可見(jiàn)����,《網(wǎng)絡(luò )安全法》所闡述的網(wǎng)絡(luò )安全風(fēng)險管理范圍��,是在傳統網(wǎng)絡(luò )信息系統基礎上�����,進(jìn)一步擴展到國家關(guān)鍵信息基礎設施����、公民個(gè)人信息等方面�����,同時(shí)提出了安全審查等國家層面的治理手段�,其內容大大豐富��,效應更加廣泛���。
三����、網(wǎng)絡(luò )安全風(fēng)險管理的落地將會(huì )更加扎實(shí)
從以往網(wǎng)絡(luò )安全風(fēng)險管理經(jīng)驗來(lái)看�����,有些時(shí)候所取得的效果欠佳����。首先�����,由于以前國家在網(wǎng)絡(luò )安全方面立法尚不完善�,有不少企業(yè)實(shí)施的信息安全管理體系�、PDCA(即計劃����、執行����、檢查�、糾正程序)等管理方式往往只是流于形式����,沒(méi)有在效果上形成真正的“閉環(huán)”����!毒W(wǎng)絡(luò )安全法》可謂“一錘定音”�����,將網(wǎng)絡(luò )產(chǎn)品提供者和服務(wù)運營(yíng)者的法律責任予以明確���,使用執法手段倒逼其強化自身安全管理�����。其次�����,以往的網(wǎng)絡(luò )安全風(fēng)險管理中���,我們一直關(guān)心的是發(fā)現脆弱性�,改進(jìn)安全措施�,而對威脅的控制無(wú)計可施�,此種方式非常被動(dòng)且成本很高����!毒W(wǎng)絡(luò )安全法》在第六章法律責任中提出了對各類(lèi)違法行為的制裁措施��,由被動(dòng)轉主動(dòng)�,有效震懾威脅源行為�����,將更多的成本轉移到威脅源�,打通了安全風(fēng)險處置的“最后一公里”����,形成真正的風(fēng)險管理閉環(huán)��。由上述可見(jiàn)�����,實(shí)施《網(wǎng)絡(luò )安全法》��,定會(huì )大幅度提升網(wǎng)絡(luò )安全風(fēng)險管理的效果�����。
出臺《網(wǎng)絡(luò )安全法》是我國網(wǎng)絡(luò )安全領(lǐng)域立法工作跨出的最為關(guān)鍵的一步����,意義非凡�。圍繞《網(wǎng)絡(luò )安全法》展開(kāi)工作���,將是今后網(wǎng)絡(luò )安全標準制定����、安全檢測和認證����、風(fēng)險評估����、安全審查等網(wǎng)絡(luò )安全風(fēng)險管理工作的重中之重��。